Danny Weber
Aktívan kihasznált Windows Netlogon rés (CVE-2026-41089). Domain vezérlőket érint, 9,8 CVSS, hitelesítés nélküli kódvégrehajtás. Azonnal frissítsen!
A Windows Netlogon szolgáltatásban talált kritikus biztonsági rést, amely CVE-2026-41089 néven fut, már aktívan kihasználják a vadonban. A hiba a Windows Server domain vezérlőként működő rendszereit érinti, CVSS pontszáma 9,8. Sikeres kihasználás esetén a támadó tetszőleges kódot futtathat SYSTEM jogosultságokkal anélkül, hogy hitelesítésre, felhasználói interakcióra vagy előzetes hálózati hozzáférésre lenne szüksége.
A Microsoft május 12-én orvosolta a problémát a havi Patch Tuesday frissítés részeként, amely összesen 138 CVE-t javított. Kezdetben a cég alacsonynak értékelte a kihasználás valószínűségét. Május 29-én azonban a belga Kiberbiztonsági Központ aktív támadásokra figyelmeztetett, és június 1-jére a Microsoft megerősítette, hogy még vizsgálja a jelentéseket, és még nem frissítette az MSRC portált.
A CVE-2026-41089 súlyosságát a domain vezérlők kritikus szerepe adja az Active Directoryban. A Netlogon alapvető hitelesítési mechanizmusokat kezel, és egy domain vezérlő kompromittálása gyakorlatilag teljes irányítást biztosít a támadónak a teljes domain környezet felett. Ez kiváltságos fiókok létrehozásához, adatlopáshoz, zsarolóvírus telepítéséhez és laterális mozgáshoz vezethet a vállalati hálózaton belül.
A biztonsági rés egy veremalapú puffer túlcsordulás. A támadó egyszerűen egy speciálisan összeállított hálózati kérést küld a domain vezérlőnek. Ha a rendszer nincs frissítve, a Netlogon szolgáltatás helytelenül kezelheti a kérést, ami maximális rendszerjogosultságú kódvégrehajtást tesz lehetővé.
A szakértők arra kérik a szervezeteket, hogy ne várjanak további megerősítésre, és azonnal alkalmazzák a május 12-i kumulatív Windows Server frissítést, ha még nem tették meg. Javasolják továbbá a domain vezérlőkhöz való hozzáférés korlátozását a külső hálózatokról, és hogy a Netlogon forgalom csak megbízható belső forrásokból érkezzen. Azoknak a cégeknek, amelyek általában 30 napig halogatják a javítások telepítését, ez a biztonsági rés különösen veszélyes – a javítás kiadása és a kihasználásról szóló jelentések közötti időablak máris riasztóan rövidnek bizonyult.
© E. Vartanyan